ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1. Настоящее Положение об обработке и защите персональных данных в обществе с ограниченной ответственностью «Айкосмо» (далее — Положение), разработано в соответствии с Конституцией Республики Беларусь, Законом Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных», Указом Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных», иными актами законодательства Республики Беларусь.
2. Положение является документом, определяющим политику Общества с ограниченной ответственностью «Айкосмо» (далее –организация, ООО «Айкосмо») в отношении обработки персональных данных и определяет порядок обработки информации, относящейся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано (далее — персональные данные), цели, принципы обработки, перечень субъектов персональных данных и обрабатываемых персональных данных, сроки обработки и хранения персональных данных, способы и условия обработки персональных данных, права и обязанности субъекта персональных данных, обязанности ООО «Айкосмо».
3. Положение обязательно для исполнения всеми работниками организации, имеющими доступ к обработке персональных данных.
4. При внесении изменений в акты законодательства, а также в случае принятия иных нормативных правовых актов по вопросам, регулируемым настоящим Положением, необходимо руководствоваться такими нормативными правовыми актами до внесения соответствующих изменений в Положение.
5. Положение содержит общедоступную информацию и размещается на официальном интернет-сайте общества – etib-shop.by.
6. В Положении применяются определения и термины в значениях, используемых в Законе Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных».
7. Обработка персональных данных осуществляется в соответствии со следующими принципами:
обработка персональных данных осуществляется на законной и справедливой основе;
обработка персональных данных должна быть соразмерна заявленным целям их обработки и обеспечивать на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц. Обработка персональных данных осуществляется с согласия Субъекта, за исключением случаев, предусмотренных законодательством;
обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с первоначально заявленными целями их обработки.
В случае необходимости изменения первоначально заявленных целей обработки персональных данных Организация обязана получить согласие Субъекта на обработку его персональных данных в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки, предусмотренных законодательством.
содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
обработка персональных данных должна носить прозрачный характер. В этих целях Субъекту в случаях, предусмотренных законодательством, предоставляется соответствующая информация, касающаяся обработки его персональных данных.
8. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать Субъект, не дольше, чем этого требуют заявленные цели обработки персональных данных.
9. Персональные данные относятся к категории конфиденциальной информации.
ГЛАВА 2
ПЕРЕЧЕНЬ ОСНОВНЫХ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ
в ООО «АЙКОСМО»
10. В Организации могут обрабатываться персональные данные следующих основных категорий субъектов персональных данных (далее — Субъекты):
физические лица, с которыми Организацией заключены (планируются к заключению) сделки; физические лица, являющиеся работниками Организации;
уволенные работники;
физические лица — клиенты/покупатели, в том числе в рамках участия в программе лояльности Организации (владельцы дисконтных карт);
физические лица, предоставившие свои персональные данные путем заполнения бумажных и (или) электронных анкет в ходе проводимых Организацией рекламных и иных мероприятий;
участники Организации и его аффилированные лица;
физических лиц, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их прав и законных интересов и отвечает требованиям, установленным законодательством;
другие физические лица, обработка персональных данных которых Организацией предусмотрена в соответствии с законодательством и локальными правовыми актами с учетом целей обработки персональных данных, указанных в главе 3 настоящего Положения.
ГЛАВА 3
ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ ООО «АЙКОСМО». ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
11. Перечень персональных данных, обрабатываемых Организацией, определяется в соответствии с законодательством и локальными правовыми актами Организации с учетом целей обработки персональных данных, указанных в настоящей главе Положения.
12. Персональные данные обрабатываются ООО «АЙКОСМО» в целях:
обеспечения соблюдения Конституции, законодательных и иных нормативных правовых актов, локальных правовых актов Организации;
соблюдения антимонопольного законодательства, а также законодательства о защите прав потребителей;
обеспечения реализации трудовых, социальных и информационно коммуникационных отношений с работниками Организации;
формирования справочных материалов для внутреннего информационного обеспечения деятельности Организации;
ведения корпоративных телефонных и иных информационных справочников, публикации сообщений на внутрикорпоративных порталах, и в общедоступных информационных системах персональных данных работников Организации и/или персональных данных Организации в целом;
реализации маркетинговых мероприятий (акций, рекламных игр, конкурсов, программ поощрения, рекламных и иных мероприятий);
улучшения качества товаров и услуг Организации, предоставления и продвижения товаров и услуг Организации, отправки уведомлений, коммерческих предложений, предоставления информации о деятельности Организации;
предоставления различных сервисов Сайтами;
отправки персональных предложений, рекламных сообщений, иной информации о новых товарах, акциях, о предоставлении преференций в соответствии с правилами программы поощрения и других новостях Организации через различные каналы (почтовые, по электронной почте, с использованием СМС, мессенджеров, других служб обмена сообщениями);
сегментации и аналитики для целей программы поощрения;
проведения опросов, маркетинговых исследований, обработки полученной информации, в том числе с возможностью коммерческого использования результатов данных опросов;
проведения промо-активностей;
в иных целях, предусмотренных законодательством и локальными правовыми актами Организации.
ГЛАВА 4
СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
13. Обработка персональных данных начинается не ранее возникновения правовых оснований обработки персональных данных, перечисленных в главе 3 Положения.
14. Обработка персональных данных прекращается при достижении целей обработки, утрате правовых оснований обработки, окончании сроков хранения документов, установленных законодательством и локальными правовыми актами Организации. В этом случае Организация прекращает обработку персональных данных Субъекта, а также осуществляет их удаление (обеспечивает прекращение обработки персональных данных, а также их удаление уполномоченным лицом).
ГЛАВА 5
СПОСОБЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
15. Организация осуществляет обработку персональных данных:
с использованием средств автоматизации;
без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и другое).
16. Персональные данные обрабатываются Организацией с согласия Субъекта на обработку его персональных данных, если иное не предусмотрено законодательством.
Организация без согласия Субъекта не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством.
17. Организация вправе поручить обработку персональных данных от своего имени или в своих интересах уполномоченному лицу на основании заключаемого с этим лицом договора.
Договор должен содержать:
цели обработки персональных данных;
перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
обязанности по соблюдению конфиденциальности персональных данных;
меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных».
18. Уполномоченное лицо не обязано получать согласие Субъекта. Если для обработки персональных данных по поручению Организации необходимо получение согласия Субъекта, такое согласие получает ООО «Айкосмо».
19. В случае, если Организация поручает обработку персональных данных уполномоченному лицу, ответственность перед Субъектом за действия уполномоченного лица несет Организация.
Уполномоченное лицо, осуществляющее обработку персональных данных по поручению Организации, несет ответственность перед Организацией.
20. Обработка персональных данных разрешается только работникам Организации, занимающим должности служащих (профессии рабочих), включенные в перечень работников ООО «Айкосмо», допущенных к работе с персональными данными.
ГЛАВА 6
ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА
21. Субъект осуществляет свои права в объеме и порядке, установленном законодательством.
22. Субъект вправе в любое время без объяснения причин отозвать свое согласие посредством подачи Организации заявления в порядке, установленном законодательством, либо в форме, посредством которой получено его согласие.
23. Субъект имеет право на получение информации, касающейся обработки своих персональных данных, содержащей:
наименование (фамилию, собственное имя, отчество (если таковое имеется)) и место нахождения (адрес места жительства (места пребывания)) Оператора;
подтверждение факта обработки персональных данных Организацией (уполномоченным лицом);
его персональные данные и источник их получения;
правовые основания и цели обработки персональных данных;
срок, на который дано его согласие; наименование и место нахождения уполномоченного лица, которое является государственным органом, юридическим лицом Республики Беларусь, иной организацией, если обработка персональных данных поручена такому лицу;
иную информацию, предусмотренную законодательством.
Для получения информации, указанной в части первой настоящего пункта, Субъект подает Организации заявление, при этом Субъект не должен обосновывать свой интерес к запрашиваемой информации.
Субъект вправе:
требовать от Организации внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными;
получать от Организации информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено законодательством;
требовать от Организации бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных законодательством;
обжаловать действия (бездействие) и решения Организации, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.
25. Субъект обязан:
предоставить Организации достоверные персональные данные;
своевременно информировать Организацию об изменении своих персональных данных в случаях, установленных законодательством;
исполнять иные обязанности, предусмотренные законодательством.
ГЛАВА 7
ОБЯЗАННОСТИ ОРГАНИЗАЦИИ
26. Организация выполняет обязанности в объеме и порядке, установленных законодательством.
27. Организация обязана:
разъяснять Субъекту его права, связанные с обработкой персональных данных;3
получать согласие Субъекта, за исключением случаев, предусмотренных законодательством;
обеспечивать защиту персональных данных в процессе их обработки; предоставлять Субъекту информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством;
вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательством либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных законодательством;
уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Организации стало известно о таких нарушениях, за
исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных Субъекта по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
выполнять иные обязанности, предусмотренные законодательством.
ГЛАВА 8
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
28. Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав Субъекта персональных данных, за исключением случаев, предусмотренных законодательством, в том числе, когда дано согласие Субъекта при условии, что Субъект проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты.
29. Уполномоченный орган по защите прав субъектов персональных данных определяет перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав Субъекта.
ГЛАВА 9
РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ
К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
30. Организация принимает правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
31. Организация определяет состав и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных, с учетом требований законодательства.
32. Обязательные меры по обеспечению защиты персональных данных включают в себя:
назначение Организацией структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
издание Организацией локальных правовых актов в развитие политики в отношении обработки персональных данных;
ознакомление работников Организации и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими
политику Организации в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;
установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
33. Организация обеспечивает неограниченный доступ, в том числе с использованием глобальной компьютерной сети Интернет, к настоящему Положению, до начала такой обработки.
ГЛАВА 10
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
34. ООО «Айкосмо» при необходимости в одностороннем порядке вносит в Положение соответствующие изменения с последующим размещением новой редакции Положения на официальном сайте Организации. Субъекты самостоятельно получают на сайте Организации информацию об изменениях.
35. Политика вводится в действие с 27.06.2022.